当前位置:文档之家 › 信息系统内部控制审计操作实务(内训)

信息系统内部控制审计操作实务(内训)

  • 格式:pdf
  • 大小:1.04 MB
  • 文档页数:13

下载文档原格式

  / 13

合集下载

{财务管理内部审计}银行信息系统内部审计培训信息系统审计实务介绍

{财务管理内部审计}银行信息系统内部审计培训信息系统审计实务介绍
招商银I行T审信息计系在统内国部际审计上培是训 一个相当成熟IT的系统领审域计实,务发介绍达国家的银行均建立了完善的页数信7 息
IT审计差异分析
国外银行IT审计的特点
IT审计部 门的独立

IT治理中 审计人员
的角色
国外银行IT审计的 特点
国外银行 IT审计的 技术和组
织框架
招商银行信息系统内部审计培训
IT审计现状——银行业
► 当前,随着各银行数据大集中的完成,IT风险也越来越集中。控制IT风险、保 证信息系统稳定运行已成为银行最紧迫的任务。此外,随着金融监管力度的加 大,银行信息披露制的实施也是当务之急。这些都要求银行加大对信息系统的 审计力度。只有建立IT审计机制,由独立的IT审计师进行信息系统审计,才能 形成对信息系统安全的客观评价。由于信息技术在银行经营管理领域各个层面 的广泛运用,IT审计也已贯穿在各种审计之中,成为时下银行业最关注的重要 课题。
招商银行信息系统内部审计培训
九十年代是IT审计的普及期,这主要归功于互联网的普及。互 联网的普及是利用计算机犯罪的人员温床,此外日益严重的软 件计项的目深失思I败。T系问I统T题审审计引计实发得务了到介绍是了否前要所对未信有息的系重统视的。投资和开发页进数行4 审
IT审计的定义和对象
IT审计定义
IT审计就是信息系统审计,也称IT监查,是独立于信息系统本身、信息系 统相关开发、使用人员的第三方-IT审计师采用客观的标准对信息系统的 策划、开发、使用维护等相关活动和产物进行完整地、有效地检查和评估。
2
组织结构的 差异
从新加坡发展银行的IT审计组织框架上看,IT审计由于涵盖了软件开发和项目投产、运行 维护的全过程,包含了各种技术平台、系统生命周期的所有阶段,因此IT审计机构设置基 本采用在总审计师领导下,与业务审计两条线并列的模式。由于目前内审部门的信息技术 审计组织结构不尽完善,无法进一步细分审计职能、明确专业审计方向。

内部控制与内部审计培训

内部控制与内部审计培训

六、企业内部控制体系
(5)法律顾问制度 加强法制教育 增强董事、监事、经理及其他高级管理人员和员工之法律观念 严格依法决策、依法办事、依法监督 建立健全法律顾问制度和重大法律纠纷案件备案制度
六、企业内部控制体系
2. 风险评估。风险评估是企业及时识别、平台分析经营活动中与实 现内部控制目标有关之风险,合理确定风险应对策略。 (1)风险识别:内部风险和外部风险 内部风险:管理因素、 安全环保因素、自主创新因素、财务因素、 人力资源因素 外部风险:经济因素、法律因素、社会因素、行业技术因素、自然 环境因素
律、规章和标准,职业团体制定之会计准则(如美国财务会计 准则委员会FASB发布之《财务会计准则公告》),企业制定之 各种消耗定额、计划、预算等,是审计之依据。 2. 3. 收集和评估证据:证据是审计人员用来确定被审单位经济 活动合法合规性或有效性及经济现象真实公允性之各种形式之 凭据。收集充分、有力之审计证据是审计工作之核心。从一定 意义上说,审计就是有目之、有计划地收集、鉴定、综合和利 用审计证据之过程。
六、企业内部控制体系
(2)良好之内审职能 独立:独立于管理和营运单位,能做出客观之分析和判断 权利:得到高级管理层之有效支持,有效推动内审之策划与实行 审计:具备审计知识和经验来准确地判断审计结果 行业知识:具备行业知识来有效地执行审计程序 通过以上职能,形成内审结果之公正。
六、企业内部控制体系
六、企业内部控制体系
3. 控制活动 1 控制活动是企业根据风险评估结果,采用相应之控制措施, 将风险控制在可承受度之内。 2 控制活动是公司建立执行之政策章程,以确保管理层之指示 可以得到顺利贯彻执行。 3 控制活动必须与风险评估是一个整体。 4 控制措施一般包括:不相容职务分离控制、授权审批控制、 会计平台控制、财产保护控制、预算控制、运营分析控制和绩效 考评控制等。

内部控制审计实务

内部控制审计实务

内部控制审计实务一、引言内部控制是指组织运作中为达成业务目标和安全保障所采取的一系列措施和制度,以确保业务的有效与高效。

内部控制审计实务即是对内部控制体系进行审计的实践活动。

本文将从内部控制审计实务的方法、过程和实施要点三个方面进行分析和探讨。

二、内部控制审计实务的方法内部控制审计实务的方法包括五个方面:风险评估、风险应对、控制测试、样本抽取和测试执行。

1. 风险评估:通过对组织的业务流程和环境进行分析,确定主要风险点和控制对象,并评估其风险程度。

2. 风险应对:针对评估结果,制定相应的风险应对策略,包括加强风险控制措施和建立应急预案等。

3. 控制测试:通过对控制活动进行测试,判断其是否符合预期效果,包括实地观察、文件审阅和询问相关人员等。

4. 样本抽取:选取代表性的样本,以代表总体,从而得出对总体的判断。

5. 测试执行:根据测试结果,对内部控制进行评价和判断,并形成审计报告。

三、内部控制审计实务的过程内部控制审计实务的过程包括四个阶段:计划阶段、执行阶段、报告阶段和跟踪阶段。

1. 计划阶段:明确审计目标和范围,确定审计方法和程序,并进行资源调配和时间安排。

2. 执行阶段:收集必要的审计证据,进行数据分析和测试,检查内部控制的有效性和合规性。

3. 报告阶段:根据审计发现和评价结果,撰写审计报告,提出问题和建议,并与被审计方进行沟通和确认。

4. 跟踪阶段:对被审计方的反馈和整改情况进行跟踪,确保问题得到及时解决和改进。

四、内部控制审计实务的实施要点内部控制审计实务的实施要点包括四个方面:独立性、专业素养、工作文件和保密性。

1. 独立性:内部控制审计人员应保持独立和客观的态度,不受被审计方的影响,以确保审计结果的真实性和公正性。

2. 专业素养:内部控制审计人员应具备扎实的理论知识和丰富的实践经验,熟悉审计准则和法规,以提高审计工作的质量和效益。

3. 工作文件:内部控制审计人员应按照规定,做好审计工作的记录和归档,以备查阅和审计事后评价之用。

审计学之内部控制培训

审计学之内部控制培训

审计学之内部控制培训1. 简介内部控制是企业运作的重要组成部分,它涉及到企业的管理、财务等方方面面。

在审计学中,了解内部控制的概念和要素是非常重要的。

本文将介绍审计学中的内部控制培训,包括培训的目的、内容、方法等。

2. 培训目的内部控制培训的目的是为了使学员了解内部控制的基本概念、要素和作用,提高学员对企业内部控制的认识和理解。

通过培训,学员能够掌握内部控制的实施方法和技巧,提高审计工作的效率和质量。

3. 培训内容内部控制培训的内容主要包括以下几个方面:3.1 内部控制概念和要素培训将介绍内部控制的概念和要素,包括控制环境、风险评估、控制活动、信息与沟通和监督。

学员将了解内部控制是如何影响企业的运作,并学习如何评估和设计内部控制。

3.2 内部控制实施方法和技巧培训将介绍内部控制的实施方法和技巧,包括如何建立有效的内部控制流程和程序,如何识别和管理风险,如何监督和改进内部控制系统等。

学员将学习如何利用内部控制提高企业的运营效率和风险管理能力。

3.3 内部控制与审计培训将介绍内部控制与审计的关系,包括内部控制对审计工作的重要性和影响,审计如何评估和测试内部控制的有效性等。

学员将学习如何在审计工作中利用内部控制信息,提高审计的精度和可靠性。

4. 培训方法内部控制培训可以采用多种方法进行,包括理论讲授、案例分析、讨论研究、实践操作等。

培训可以通过线下课堂教学、在线教育平台等方式进行。

培训可以由专业的培训师或者内部控制专家进行。

培训可以根据学员的需求和实际情况进行个性化定制。

5. 培训效果评估在内部控制培训结束后,需要对培训效果进行评估。

评估可以采用问卷调查、实际操作测试等方法进行。

评估结果可以用于改进培训内容和方法,提高培训效果。

6. 结论通过内部控制培训,学员可以提高对内部控制的认识和理解,掌握内部控制的实施方法和技巧,并将其应用于审计工作中,提高审计工作的效率和质量。

企业也能从中受益,提高运营效率和风险管理能力。

企业内训:IT审计操作实务

企业内训:IT审计操作实务

企业内训:IT审计操作实务明阳天下拓展培训主题:IT信息系统审计关键业务流程设计会计核算财务分析天数:2 天培训目的随着企业信息化应用的推广,IT系统已经成为企业内部控制的重要组成部分,并且由于财务报告对IT系统所提供的业务及财务信息的依赖性越来越大,针对IT系统控制设计和运行的充分性和有效性做出独立的评估的能力也越来越重要。

IT审计就是培训企业的内部审计人员如何培养这一能力的一个培训培训中注意的问题:IT审计不仅针对信息系统的充分性和有效性作出独立评估,而且需要为IT项目、电脑设施、开发部门及系统提供系统内部控制设计的思路。

所有这一切需要保证其活动与集团IT标准与策略保持一致。

同时针对审计过程中发现的问题,可以提出有建设性的建议,以纠正现行内部监控措施或程序上的缺陷。

最后,IT审计是业务审计工作的基础提供很好的信息系统保障培训收益:1、了解IT审计的涵义与目标,明确IT审计的任务、内容和特点。

2、熟悉IT审计的实施过程,从而对IT审计有一个初步了解。

3、熟悉企业业务流程和业务流程的信息系统设计,并且能够针对审计过程中发现的问题,可以提出有建设性的建议培训对象:1.内部控制,流程管理人员2.风险管理人员3.内部审计工作人员4.会计核算,财务分析工作人员5.其他应用系统使用人员6.信息系统应用开发人员培训时间:2天课程大纲:一、IT审计工作的范围电脑设施审计系统软件审计通讯审计开发部门审计应用系统审计系统实施审计二、检讨/审查方法审查系统开发时所编定的文件没有系统文件存在时的审计策略对IT实施项目的监控参与系统和用户测试利用了CAATS来增强执行审查工作上的有效性三、审计内容信息系统的关键业务流程及相关的组织战略目标信息技术风险评估信息系统及其支持的业务流程的变更情况信息系统框架和信息系统的长期发展规划及近期发展计划信息系统执行和维护活动四、专项审计信息系统开发实施项目的专项审计;信息系统安全专项审计;信息技术投资专项审计;业务连续性计划的专项审计;外包条件下的专项审计;法律法规、行业规范要求的内部控制的合规性的专项审计本文转自明阳天下拓展,转载请注明出处。

现在内部审计与内部控制实务培训

现在内部审计与内部控制实务培训

现在部审计与部控制实务谭丽丽(武钢)尊敬的各位:大家好!我叫谭丽丽,来自钢铁集团公司,几年前,我是钢铁(集团)公司的审计部长,之后是集团计财部长,能源总厂的党委书记。

我在武钢这方热土上,从事过生产、技术、经济统计、工程管理、部审计、财务会计、党务政工等十余个岗位的工作,在火热的事业这所大学中,我从一名普通工人成长为正研究员,教授级高级工程师、教授级高级会计师、高级审计师、中国注册造价工程师、享受政府津贴专家。

而部审计,是这些岗位中最能让我感到激动人心、充满挑战、充满生机与活力的事业。

我今天交流的题目就是《集团公司的部审计与控制》,我将从一个实务工作者的角度来理解部控制和审计对一个企业、一个部门、甚至是对我们每一个员工的影响。

我首先要介绍我们企业的部审计,因为部审计在企业经营管理中处于极其重要的地位,它既是部控制机制的重要组成部分,又是监督与评价部控制的主要手段。

因此,美然事件以后,人们把部审计当作“企业良心”,当作维护企业道德文化的最后一道防线。

(如果部审计也不值得信赖了,这个企业就没有希望了),部审计对控进行评价的大量方法是可以借鉴的。

我在三所国家会计学院讲过课,我去过国众多的特大型企业作报告,我们虽然来自不同的行业,但是隔行不隔理,我们在部控制方面所遇到的问题以及正在探索的问题,我相信几乎都能在你们所在的行业找到相同概念的案例。

我们的部审计和财务都是很棒的。

前年,我作为全国五一劳动奖章获得者,全国十大知识型职工标兵,审计长在专门接见我们武钢审计部的代表。

同时,王兆国接见我们全国学习型组织和标兵。

(这是在网上下载的新华社照片),评选工作历经两年,最后是国家十大部委司局长无记名投票产生,我的排名是第一,所以我照相站在最中间,我作为他们中间的唯一代表,在国家领导人参加的表彰大会上发言,介绍我和我的学习型团队,我们的部审计。

这次表彰会在全国32个省会城市、自治区、直辖市设立了分会场,进行现场直播。

在长期的管理工作中,我有一个很深的体会,这就是现实的挑战总是超越现存的理论。

内部控制审计及其实务操作

内部控制审计及其实务操作一、引言内部控制是企业管理的重要组成部分,它涉及到各个业务环节的规范和风险管理。

内部控制审计作为评估和改进企业内部控制的重要手段,在现代企业管理中占据着重要地位。

本文将介绍内部控制审计的基本概念、原则和实务操作。

二、内部控制审计的基本概念2.1 内部控制审计的定义内部控制审计是指对企业内部控制体系进行评估和提供改进建议的一项专门工作。

它通过系统性的检查和评估,发现内部控制存在的问题,并提出改进意见,以提高企业业务流程的效率和风险管理的能力。

2.2 内部控制审计的目的内部控制审计的目的是为了确保企业的财务报告真实可靠、资产的保护和使用合理、业务流程的有效性和高效性,并帮助企业做出有效的决策。

通过内部控制审计,企业可以及时发现和纠正业务流程中存在的问题,提高整体的经营管理水平。

2.3 内部控制审计的原则内部控制审计的原则包括全面性、独立性、专业性和时效性。

全面性要求审计人员对所有的业务流程进行评估和审计,确保无遗漏;独立性要求审计人员在进行审计工作时应独立于被审计部门,确保审计结果的客观性;专业性要求审计人员具备审计专业知识和技能,准确评估和判断内部控制的状况;时效性要求审计工作应在合理的时间范围内完成,及时向企业提供审计结果。

三、内部控制审计的实务操作3.1 内部控制审计的准备工作内部控制审计的准备工作是保证审计工作进行顺利的前提。

审计机构需要与企业沟通,了解企业的业务流程、内部控制政策和信息系统,明确审计的目标和范围。

同时,审计机构还需要评估企业的风险管理情况,确定审计的重点和难点。

3.2 内部控制审计的数据收集内部控制审计需要收集相关的数据和信息,以确定业务流程的合规性和有效性。

审计人员可以通过审阅文件、采访人员、观察业务流程等方式,收集数据和信息。

此外,审计人员还可以借助数据分析工具,对大量数据进行统计和分析,从中发现潜在的问题和风险。

3.3 内部控制审计的测试和评估内部控制审计的核心工作是对内部控制进行测试和评估。

内部控制审计及实务操作

“控制环境—控制系统—监督评价”此三要素是一个 相互联系、综合作用的整体,它们构成对处于变化中 的控制环境作出动态反映的整体框架。
该框架中,控制环境为控制系统提供支撑,监督评价 为控制系统提供保障,控制系统是整个框架的核心。
同时,控制环境和控制系统为监督评价提供信息和依 据,监督评价反过来影响控制环境和控制系统,为优 化控制环境和系统提供意见和建议。

当前我国内部控制审计的现状
1992年Coso委员会发布的《内部控制——整体 框架》报告所提出的由“三个目标”“五个要 素”组成的内部控制整体框架得到了国际普遍 的认可,成为最为权威的内部控制理论。
其强调的控制环境是内部控制基础,监督是内 部控制的实施保障等也引起了我国审计界的高 度重视,我国财政部2001年6月发布了《内部 会计控制规范——基本规范(试行)》明确了 建立健全和完善内部会计控制体系的基本框架 和要求。
2.避免超复核负载。主要是要弄清楚组织必须承担些什么风险, 有能力承担多大的风险。董事会对企业当局的风险管理能力具有 质疑能力,避免不稳健的经营策略。
3.成本效益原则。对风险管理措施的成本收益进行分析比较,合 理择用。
风险管理的步骤:通常包括七个步骤:确定范围、识别风险、分 析风险、评价风险、沟通与协商、检测和审核。
一个组织的控制环境大致可以分为三个方面:组织结构、组织文 化、信息与沟通系统。
组织结构是内部控制系统的实施载体;组织文化影响内部控制的 意识和理念;信息与沟通系统是实施内部控制的必要条件。
控制系统,是指为合理保证组织目标的实现而建立的一系列政策 程序并实施相应的控制活动的整个过程。
树立好目标,使一切行动对准目标,保证目标的实现叫控制。所 以,要实施控制,首先要树立好控制的目标,这是控制系统的第 一个环节;但目标能否实现,还必须对组织存在与发展的环境中 可能发生的各种各样的风险正确地评估,这是控制系统的第二个 环节;针对组织的目标和可能存在的风险制定恰当的控制政策和 程序并使之有效实施,才能规避风险保证目标的实现,这是控制 系统的第三个环节。

内部控制审计及实务操作

内部控制缺陷可以分为设计缺陷、操作缺陷和监视缺陷。它们可能导致资产丢失、欺诈行为和财务报告的错误。
如何发现内部控制缺陷
发现内部控制缺陷的方法包括风险评估、流程分析和数据分析等。同时,内 部控制审计人员需要具备丰富的经验和专业知识。
内部控制审计的工具和方法
内部控制审计使用的工具和方法包括流程图、问卷调查、抽样和检查等,以评估内部控制的有效性和合规性。
内部控制审计及实务操作
本演示将介绍内部控制审计,包括其概述、目的和意义,审计流程及要点, 工具和方法,以及案例分析等内容。
什么是内部控制审计?
内部控制审计是评估和监督组织内部控制体系的过程。它旨在发现潜在的风险并提供改进建议,以保护组架是指用于设计、实施和评估内部控制体系的准则和原则,并提 供一个结构来管理风险。
内部控制与企业风险管理的关 系
内部控制是企业风险管理的核心组成部分,通过有效的内部控制体系可以降 低企业面临的各种风险的影响。
内部控制审计的目的和意义
内部控制审计旨在评估和改善组织的内部控制体系,保护资产安全,提高运 营效率,确保财务报告的准确性。
内部控制审计流程及要点
1
筹备阶段
确定审计目标、范围和方法,并制定审
数据收集
2
计计划。
搜集和分析与内控相关的数据和信息。
3
风险评估
评估潜在风险,并确定内部控制改进建
报告编写
4
议。
撰写审计报告,提供改进建议和建议。
现代内部控制审计的挑战和机 遇
现代内部控制审计面临着技术发展、全球化业务和不断变化的风险等挑战, 同时也提供了更多的机遇来改进审计效果。
内部控制缺陷的分类和影响

内部控制培训实务

内部控制培训实务随着企业的不断发展,内部控制在企业管理中的重要性逐渐凸显。

为了提高企业的运营效率、降低风险,许多企业开始注重内部控制培训实务。

本文将介绍内部控制培训的实际操作和相关知识。

一、内部控制培训的必要性良好的内部控制能够帮助企业规范业务流程,提高决策的准确性和效率,并保护企业的资产免受内外部风险的侵害。

因此,进行内部控制培训是企业的必然选择。

通过培训,员工能够了解内部控制的重要性,掌握内部控制的基本原理和方法,提高内部控制意识和能力。

二、内部控制培训的内容1. 内部控制概述内部控制概述是内部控制培训中的重要内容,它包括内部控制的定义、目标和原则等。

通过概述,员工能够了解内部控制的基本概念和理念,为后续学习打下基础。

2. 内部控制框架内部控制框架是内部控制培训的核心内容,它包括传统的控制矩阵模型以及现代的风险控制矩阵模型等。

通过学习内部控制框架,员工可以了解内部控制的整体框架和各个环节之间的关系,理解内部控制的全过程。

3. 内部控制方法与工具内部控制方法与工具是内部控制培训的实践内容,它包括内部控制的具体方法和工具,如风险评估、内部审计和流程管理等。

通过学习和掌握这些方法和工具,员工能够在实际工作中运用内部控制来提高工作效率和准确性。

三、内部控制培训的方法内部控制培训的方法有多种,企业可以根据自身的需要选择适合的方法。

1. 课堂培训课堂培训是最常见的内部控制培训方式,通过邀请内部控制专家进行讲解,向员工传授内部控制的理论知识和实战经验。

课堂培训可以提供系统性、全面性的知识,帮助员工快速掌握内部控制的要点。

2. 外部培训企业也可以选择邀请外部专业机构或顾问进行内部控制培训。

外部培训能够带来新的视角和经验,为企业提供更加全面和专业的内部控制知识。

3. 内训和分享企业内部也可以组织内部控制培训和分享活动。

通过组织内部员工进行培训和分享,能够促进员工之间的交流和互相学习,提高内部控制水平。

四、内部控制培训的效果评估为了确保内部控制培训的效果,企业需要进行培训效果的评估。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

2012年7月2日
控制缺陷;4)完成审计工作;5)出具审计报告
•整体评价内部控制、财务报表及审计工作
•以风险评估为基础确定测试领域
•企业层面内部控制评估
•业务层面内部控制评估
•确定缺陷类型和缺陷评级
•若有,则评价补偿性控制
•取得管理层声明书
•确定内部控制有效性意见
•出具内部控制审计报告
4
提问与解答
13整体计算机环境运作
的有效性,支持公司业务运作的正常运行信息系统贯穿于公司业务流程中交易的生成、记录、处理和报告的全14
1516
BDO 立信信息系统鉴证部2012培训
1718
Oracle 数据

用户用户用户用户用户用户应用程序服务

20
信息系统控制基础知识
整体计算机环境控制
提问与解答
34
“信息系统清单”填写说明
应用系统名称根据各业务循环中实际使用的系统选择,若选择项中没有对应的选项则选择“其他”并在“说明”栏中说明实际使用的系统名称根据选择的应用系统的实际
情况填列应用系统对应的接
口、操作系统、数据库、硬
件型号、服务器所在地等信

36
“计算机复杂程度评估”填写说明
各个问题根据了解的情况
在下拉框中选择与实际情
况相符的选项
若注意到有其他情况,则
在其他需要关注的信息中
注明,否则填写“不适用”
37
“结论”填写说明
根据上述了解的情况判断信息系统环境的复杂程度,判断标准如下图:
若信息系统环境为“复杂”则必须执行信息系统审计;若为“一般”,则由项目团队判断是否需要进行信息系统审计;若为“简单”,则可以不执行信息系统审计。

39✓
财务管理(会计核算、财务管理)
40

物流管理(分销、采购、库存管理)
41✓
生产控制(计划、制造)
Oracle 数据

用户录入交易
采购模块开发人员
收货模块库存模块
应付模块
总账模块其他等等模块
43

44
根据“信息系统应用规模问卷”的结论确认是否执行信息系统测试,若“否”则需在描述项填写“否”原因
根据实际技术环境填写,“IT 技术环境名称”填写格式为:系统管理所在地_应用系统名;若由于管理模式不同或者分布式管理,则有多套IT 技术环境,并需分技术环境进行信息系统穿行测试
判断是否执行测试
45选择执行信息系统穿行测试的领域,一般第一年审计的客户需三个领域都执行穿行测试,以后年度可根据环境变化情况及重要性等级判断测试领域,对于不测试的领域需描述原因
判断执行哪几类测试
46
对所列内容,根据访谈结果填写公司实际的IT 业务控制流程
对所列内容根据访谈结果选择答案,若选项为“否”,则需说明是否有替代控制来防止由职责分离问题可能造成的风险
记录了解的操作流程
47
根据了解的流程按照程序识别关键控制活动并进行穿行测试,若穿行测试结果为“有效”,则需执行有效性测试;穿行测试和有效性测试中发现的例外都需填列在“发现”栏中。

•系统开发和变更管理重点关注三类内容六大程序•系统开发和变更管理程序(授权、测试和批准
49•系统变更测试报告系统开发和变更管理程序和变更的监控:查看变更申请、测试、
上线验收的流程管理和审批授权管理
50
系统开发和变更管理的不相容职责的分工:建有独立的系统开发、
测试、生产环境且访问授权符合职责分离的要求
•信息系统安全重点关注六类内容八大程序:•一般系统安全设置(用户身份和认证策略)
•信息系统安全重点关注六类内容八大程序:•物理访问
一般系统安全设置(用户身份和认证策略)
用户登录认证
应用层密码策略
数据库层密码策略
操作系统层密码策略
54
应用用户访问管理:检查权限申请/变更管理、离职账号管理及系统权限定期审核管理,确认授权审批流程
55对系统管理资源访问管理:应用层、数据库层、操作系统层特权账号的授权范围和安全管理
对计算机硬件的物理访问限于适当人员:门禁用户清单
信息系统安全过程受到监控:开启审核策略,由非系统操作人员审阅系统安全日志
•其他ITGC重点关注四类内容四大程序•财务数据的备份和恢复
59财务数据已备份且可恢复:设置数据备份策略并定期进行恢复测试
数据备份内容
数据备份时间、备份类型(全备份、增量备份)参数设置
60
及时识别并处理批处理/按计划执行程序产生的偏差:设置的批处理/按计划执行程序的合理性并定期复核执行结果
61批处理设置
62
批处理设置
63批处理设置
64
及时识别、解决、复核和分析建立问题汇报、跟踪处理机制,定期巡检并及时处理发现的问题
65数据接口
66
数据接口
67
“信息系统有效性测试”是对了解的信息系统环境中的关键控制活动的执行“信息系统有效性测试”根据ITGC控制活动发生的频率识别抽取的样本的关键控制元对发现控制偏差的情况确定是否需扩大样本量进行测试并记68
根据被测试者的性质、数量,确定控制活动的类别及发生频率
分析其行为及交易数据,确定各发生频率下的测试样本总量
根据业务特点或特别风险考虑因素确定合理的样本抽取方法,并根据样本抽取量标准确定样本量
有效性测试样本量确定和选择方法:
69
参考选样标准对设计有效的控制活动执行有效性测试并填写选样依据
填写执行有效性测试的控制点的查看元素
70
对于发现控制偏差的情况,需确定是否计划扩大样本量,若确定执行扩大样本量测试,需填写扩大样本量的原因、对于扩大样本测试的结论及相关索引号
71
了解控制差异的起因和结果。

是否达到控制目标?
是否可以增加其他测试程序证明已发现的差异不能代表所有内控的情况?
扩大测试范围,重新评估,测试目的是否达到?
该差异不是控制缺陷,不必再考虑
设计缺陷/执行缺陷
72
74
将设计和有效性测试中发现的问题填入发现汇总清单,并进行补偿性控制、缺陷评级和影响分析,同时取得管理层的反馈确认
75综合考虑穿行测试和有效性测试结果、对发现的问题进行扩大样本量测试或者补偿性控制测试后的结果填写总体结论,确认信息系统审计是否发现重大缺陷,能否支持财务运作。

提问与解答。